Comment le gouvernement australien peut renforcer la résilience nationale en matière de cybersécurité et contrer efficacement les menaces
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Les efforts déployés par le gouvernement australien pour prendre au sérieux la cybersécurité montrent que celle-ci a été classée comme un domaine à haut risque au niveau national, mais sa stratégie est-elle suffisamment ambitieuse ?
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
